通过Direct Connect选项使用Route 53 Resolver从本地访问私有API Gateway

【以下的问题经过翻译处理】 我有一个使用VPC端点的API Gateway私有API，只能由来自本地的客户（浏览器和应用程序）通过Direct Connect进行访问。"x-apigw-api-id:{api-id}"不是一个Header选项，因此目前一些应用程序代码无法修改。临时解决方案是在Fargate上使用NGINX，但我想要一个不需要中间代理的解决方案，以简化运维操作。

我已经为"{restapi-id}.execute-api.{region}.amazonaws.com"创建了一个转发区域，并在他们的本地DNS中将其指向部署的Route 53入站解析器。我发现API Gateway DNS 名称的第一个响应是一个CNAME，指向"execute-api.eu-central-1.amazonaws.com"，但这个CNAME永远不会被我们的DNS或Internet转发器解析为A记录。

对于私有API的完全合格域名（FQDN）直接请求Route53 Resolver会工作，因为客户端会再次请求相同的Route 53 Resolver来解析CNAME。然而，我希望客户端与本地DNS服务器通信，该服务器将请求转发到Route 53 Resolver，而返回的CNAME将在本地DNS上查询，而不是上次使用的解析器。

选项：是否有推荐方式？

选项1 - 为"execute-api.eu-central-1.amazonaws.com"创建一个转发区域。这将解决问题，但这意味着prod/non-prod API Gateway请求将通过一个单一的VPC。但我希望隔离的prod/non-prod环境。

选项2 - 使用专用VPC，私有API Gateway，Route 53 Resolver和VPC端点，用于所有区域本地API访问请求。

选项3 - 配置（QiP / BIND）以重新请求最后一个解析器的CNAME。

额外的问题

其他问题：

1 - 我是否漏掉了某些选项，或者甚至有没有更好的建议用于这种情况的架构？

2 - 在Route 53解析器上是否有我遗漏的配置，以将A记录返回给客户端？当收到CNAME时，Route 53 Resolver是否会请求A记录？